Volver al blog

Síguenos y suscríbete

Presentamos GraphQL Inspection para el WAF de última generación de Fastly

James Nguyen

Product Manager, Fastly

Nos llena de orgullo anunciar que el WAF de última generación de Fastly (con tecnología de Signal Sciences) se ha convertido en una de las pocas soluciones de seguridad para API que ofrecen inspección de GraphQL. Así, se amplía la cobertura de tus API sin importar la arquitectura o las configuraciones que usen tus desarrolladores.

Las API representan un vector de amenazas cada vez más importante dentro del tráfico de aplicaciones, y se han convertido en la opción más popular para muchos desarrolladores. Esto no es de extrañar, teniendo en cuenta la rapidez con la que estamos pasando a la nube pública y a aplicaciones centradas en las API. De hecho, Gartner predice que los ataques a API se convertirán en el vector de ataque más frecuente, causando vulneraciones de datos en aplicaciones web de empresas este mismo año. 

Un mejor rendimiento pero una protección más difícil 

Aunque REST y SOAP han desempeñado un papel importante en la forma de escribir las API, GraphQL se está convirtiendo rápidamente en el lenguaje favorito de los desarrolladores por su eficiencia, velocidad y especificidad. La gran ventaja de GraphQL con respecto a REST radica en que permite al autor de la llamada solicitar justo la información que necesita, sin devolver datos irrelevantes. Esto se consigue en una sola llamada en vez de tener que realizar múltiples trayectos de ida y vuelta al backend, de modo que se disminuye la carga general del servidor. 

Como suele pasar, en contextos en los que hay mayor disponibilidad de información, se registra una mayor presencia de amenazas. Esto también ocurre con GraphQL, por lo que es necesario que las empresas y los consumidores conozcan ciertas consecuencias de su uso para la seguridad. Aparte de ataques específicos de GraphQL, las peticiones de GraphQL también son susceptibles a todos los ataques de tipo OWASP, como scripting entre sitios, CMDEXE e inyección de SQL.

Inspección de GraphQL preconfigurada

Pese a la creciente popularidad de GraphQL, escasean las soluciones de seguridad que ofrezcan inspección de GraphQL. Nuestro WAF de última generación incluye una cobertura que detecta, inspecciona y bloquea ataques de inyección de tipo OWASP, ataques de denegación de servicio y otras vulnerabilidades que pueden afectar a API de GraphQL; todo ello sin configuración necesaria por tu parte. 

Si, de todas formas, prefieres una protección más personalizada, te damos la flexibilidad de definir reglas que se activan mediante vectores comunes de ataque de GraphQL, como la profundidad máxima de consulta o los intentos de introspección. Ya puedes aprovechar las ventajas de GraphQL sin exponer tus aplicaciones a más vulnerabilidades.

Empieza a proteger tus API de GraphQL hoy mismo 

Las soluciones de seguridad deben seguir el ritmo de los avances tecnológicos. GraphQL Inspection pone el WAF de última generación de Fastly al frente de la protección de API y, así, ofrece mayor cobertura y visibilidad ante ataques a las API, más flexibilidad para que los desarrolladores trabajen con los lenguajes que mejor se adaptan a sus flujos de trabajo, y mayor eficiencia operativa sin poner tus aplicaciones en riesgo. En nuestra hoja de datos de GraphQL Inspection encontrarás más información.

Si tienes instalado nuestro WAF de última generación y también utilizas GraphQL para API, ponte en contacto con tu gestor de cuentas o con contacto@fastly.com para obtener más información y organizar una prueba de la nueva funcionalidad GraphQL Inspection. Si aún no eres cliente del WAF de última generación de Fastly, descúbrelo y averigua por qué el 90 % de nuestros clientes ejecutan el WAF en modo de bloqueo total.